Forskrift om systemer for betalingstjenester

Denne siden viser Forskrift om systemer for betalingstjenester i en brukervennlig struktur med kapitler, paragrafer og stabile lenker til hver bestemmelse.

Dokumenttype: Forskrift
Dato: 2019-02-15
Nummer: 152
Kilde: Lovdata
Departement: Finansdepartementet
I kraft: 2019-04-01
Sist importert: 17. juni 2026
Sist oppdatert i kilde: 2. juni 2021

Vis på Lovdata ↗

§ 1. Virkeområdeegen side

Forskriften gjelder for banker, kredittinstitusjoner, e-pengeforetak, betalingsforetak, opplysningsfullmektiger og filialer av slike foretak med hovedsete i annen EØS-stat jf. finansforetaksloven § 2-3. Forskriften gjelder likevel ikke for betalingsforetak med begrenset tillatelse, jf. finansforetaksloven § 2-10 fjerde ledd.

§ 2. Risikovurdering og etterlevelse av regelverkegen side

Betalingstjenestetilbydere skal gjennomføre risiko- og sårbarhetsvurderinger før en ny betalingstjeneste lanseres og ved hendelser eller endringer av betydning for sikkerhetsnivået.

Betalingstjenestetilbydere skal ha systemer og kontrollmekanismer for operasjonell og sikkerhetsmessig risiko knyttet til ytelsen av betalingstjenester, samt effektive fremgangsmåter for å håndtere hendelser, inkludert alvorlige operasjonelle hendelser og sikkerhetshendelser. Systemene skal sikre etterlevelse av regelverk, avtaler og interne rutiner. Datatrafikk i elektroniske betalingstjenester skal overvåkes for å sikre tilstrekkelig sikkerhetsnivå og kunne avdekke og hindre uautorisert bruk av tjenesten.

Betalingstjenestetilbydere skal minst årlig gi Finanstilsynet en samlet vurdering av operasjonell risiko og sikkerhetsrisiko knyttet til tilbyderens betalingstjenester, samt om tilbyderens tiltak er tilstrekkelige.

Betalingstjenestetilbydere skal minst årlig rapportere statistikk om svindel knyttet til betalingstjenestene til Finanstilsynet, på den måten Finanstilsynet angir.

§ 3. Underretning om hendelseregen side

Dersom hendelse som angitt i forskrift 21. mai 2003 nr. 630 om bruk av informasjons- og kommunikasjonsteknologi (IKT) § 9 tredje ledd påvirker eller kan påvirke betalingstjenestebrukernes økonomiske interesser, skal betalingstjenestetilbyderen uten ugrunnet opphold underrette brukerne om hendelsen. Meldingen skal omtale tiltak brukeren kan iverksette.

§ 4. Krav til sikker ytelse av betalingstjenesteregen side

Betalingstjenestetilbydere skal på bakgrunn av risiko- og sårbarhetsvurderingen etablere tiltak for å sikre nødvendig konfidensialitet, integritet og tilgjengelighet for tjenestene. Gjeldende nasjonale standarder og internasjonalt anerkjente standarder skal følges.

Betalingstjenestetilbyderen er ansvarlig for at tjenesten i sin helhet (ende til ende) er beskyttet gjennom logiske og fysiske sikringstiltak.

§ 5. Krav til sterk kundeautentiseringegen side

En betalingstjenestetilbyder skal anvende sterk kundeautentisering når brukeren

logger seg inn på sin betalingskonto via nettet,
initierer en elektronisk betalingstransaksjon, eller
gjennomfører handling som kan innebære risiko for svindel eller annet misbruk.

For transaksjoner som nevnt i første ledd bokstav b skal betalingstjenestetilbyderen ved elektroniske fjernbetalingstransaksjoner anvende sterk kundeautentisering som kobler transaksjonen til et spesifikt beløp og en spesifikk betalingsmottaker.

Med «sterk kundeautentisering» menes en løsning basert på bruk av to eller flere elementer, som er uavhengig av hverandre slik at kompromitteringen av ett element likevel ikke vil påvirke de andre elementene.

Betalingstjenestetilbyderen skal innføre egnede tiltak for å beskytte brukerens personlige sikkerhetsinformasjon. Videre skal foretaket sikre at kunden på en hensiktsmessig måte kan beskytte sine autentiseringskjennetegn, og foretaket skal etablere løsninger som gjør at kunden kan sperre videre bruk av autentiseringskjennetegn.

Kontotilbyder skal gi betalingstjenestetilbydere som tilbyr avtale om betalingsfullmakt og kontoinformasjonstjeneste adgang til å benytte seg av autentiseringsprosedyrene kontotilbyder har gjort tilgjengelig for brukeren.

§ 6. Betalingsfullmakttjenesteregen side

I forbindelse med betalingsfullmakttjenesten skal betalingsfullmektigen

ikke på noe tidspunkt ha rådighet over betalerens midler
ikke endre betalingsmottaker, beløp eller noe annet kjennetegn ved transaksjonen
legitimere seg overfor brukerens kontotilbyder, når de iverksetter en betaling
kommunisere på sikker måte med kontotilbyder, betaleren og betalingsmottakeren
sikre at betalingstjenestebrukerens personlige sikkerhetsinformasjon (autentiseringskjennetegn) ikke er tilgjengelig for andre enn brukeren og utstederen av den personlige sikkerhetsinformasjonen, og at sikkerhetsinformasjonen overføres gjennom sikre og effektive kanaler
ikke benytte, ha tilgang til eller lagre opplysninger for andre formål enn utføring av betalingsfullmakttjenesten i samsvar med betalerens uttrykkelige anmodning
ikke lagre sensitive betalingsopplysninger om betaleren
ikke be betalingstjenestebrukeren om opplysninger som ikke er nødvendige for å utføre betalingsfullmakttjenesten
sikre at eventuelle andre opplysninger om betalingstjenestebrukeren som er innhentet om betaleren i forbindelse med betalingstjenesten, bare gis til betalingsmottakeren og bare med betalerens uttrykkelige samtykke.

Betalingsfullmektigen skal gjøre betalingstransaksjonens referanse tilgjengelig for kontotilbyderen ved iverksetting av en betalingsordre.

§ 7. Kontoinformasjonstjenesteregen side

I forbindelse med kontoinformasjonstjenesten skal opplysningsfullmektigen

legitimere seg overfor brukerens kontotilbyder for hver kommunikasjonsøkt
kommunisere på sikker måte med kontotilbyder og brukeren
sikre at brukerens personlige sikkerhetsinformasjon (autentiseringskjennetegn) ikke er tilgjengelig for andre enn brukeren og utstederen av den personlige sikkerhetsinformasjonen, og at sikkerhetsinformasjonen overføres gjennom sikre og effektive kanaler
kun ha tilgang til opplysninger fra angitte betalingskontoer og tilknyttede betalingstransaksjoner
ikke be om sensitive betalingsopplysninger knyttet til betalingskontoen
ikke bruke, ha tilgang til eller lagre opplysninger for andre formål enn for å utføre kontoinformasjonstjenesten i samsvar med brukerens anmodning.

§ 8. Kontotilbyderens plikteregen side

I samsvar med reglene i finansavtaleloven § 4-16, skal utføring av avtale om betalingsfullmakt eller kontoinformasjonstjeneste ikke gjøres betinget på vilkår om at det foreligger en avtale mellom kontotilbyderen og betalingsfullmektigen eller opplysningsfullmektigen om utføring av tjenesten.

Kontotilbyderen skal gi fullmaktforetaket nødvendig tilgang til brukerens egne internettbaserte betalingskontoer, med mindre det foreligger objektivt begrunnede og dokumenterte forhold som gir grunn til å tro at nødvendig autorisasjon for utføring av avtale om betalingsfullmakt eller kontoinformasjonstjeneste mangler. Kontotilbyder skal umiddelbart underrette Finanstilsynet dersom det har nektet betalings- eller opplysningsfullmektig tilgang. Underretningen skal angi begrunnelsen for at tilgangen ble nektet.

Kontotilbyder skal ikke forskjellsbehandle mellom en betalingsordre som gis av betaler gjennom tilbyder som tilbyr avtale om betalingsfullmakt og betalingsordre som gis direkte fra betaler, særlig med hensyn til tidspunkt, prioritet og gebyrer, med mindre det foreligger saklig grunn.

Kontotilbyder skal ikke forskjellsbehandle forespørsler om informasjon som gis gjennom en betalingstjenestetilbyder som tilbyr avtale om kontoinformasjonstjeneste, med mindre det foreligger saklig grunn.

Kontotilbyderen skal umiddelbart etter mottak av betalingsordren fra betalingstjenestetilbyder som tilbyr avtale om betalingsfullmakt gjøre all relevant informasjon om initieringen og gjennomføringen av betalingstransaksjonen tilgjengelig for fullmektigen.

Kontotilbyder skal kommunisere på sikker måte med betalingstjenestetilbydere som tilbyr avtale om betalingsfullmakt og kontoinformasjonstjeneste.

Endret ved forskrift 5 juli 2023 nr. 1245 (i kraft 25 juli 2023).

§ 9. Kortbaserte betalingstransaksjoneregen side

Kontotilbyder skal ved henvendelse fra en betalingstjenestetilbyder som har utstedt et kortbasert betalingsinstrument umiddelbart angi om transaksjonen knyttet til instrumentet har dekning i betalingskontoen, når denne er tilgjengelig på internett. Dette gjelder bare dersom betalingstjenestebrukeren har gitt sitt samtykke til at kontotilbyderen på anmodning fra en annen betalingstjenestetilbyder, som utsteder kortbaserte betalingsinstrumenter, kan bekrefte at det er dekning på betalingskontoen for et bestemt beløp som den kortbaserte betalingstransaksjonen gjelder.

Kontotilbyders svar på om transaksjonen har dekning i kontoen skal være et bekreftende «ja» eller avkreftende «nei». Forespørselen skal ikke gi grunnlag for å reservere midler på betalerens betalingskonto.

På forespørsel fra betalingstjenestebrukeren skal kontotilbyderen alltid gi betalingstjenestebrukeren opplysninger om identiteten til betalingstjenestetilbyder som har anmodet om slik dekningsbekreftelse og svaret som ble gitt av kontotilbyderen.

Betalingstjenestetilbyderen skal legitimere seg overfor kontotilbyder før hver anmodning om bekreftelse, og kommunisere på sikker måte med kontotilbyder.

Bestemmelsene i denne paragrafen gjelder ikke kortbaserte betalingsinstrumenter som er e-penger.

§ 10. Aksept av kortbaserte e-penger utstedt utenfor EØSegen side

Innløsere som er rapporteringspliktige etter hvitvaskingsloven § 4, skal bare akseptere betalingstransaksjoner iverksatt med e-pengeinstrumenter utstedt utenfor EU/EØS-området når disse er utstedt på minst like strenge vilkår som etter hvitvaskingsforskriften § 4-2 første ledd bokstav b og annet ledd.

Tilføyd ved forskrift 31 mai 2021 nr. 1715 (i kraft 1 juli 2021).

§ 11. Tilgang til brukerens sikkerhetsinformasjonegen side

Betalingstjenestetilbydere skal sikre at brukerens personlige sikkerhetsinformasjon til elektronisk identifikasjon og signatur ikke er tilgjengelig for andre enn brukeren og utstederen, når identifikasjonen eller signaturen gir tilgang til elektroniske tjenester fra offentlig sektor og som omfattes av regler som svarer til Europaparlaments- og Rådsforordning (EU) nr. 910/2014.

Endret ved forskrift 31 mai 2021 nr. 1715 (i kraft 1 juli 2021, tidligere § 10).

§ 12. Tekniske reguleringsstandarder for sterk kundeautentisering og kommunikasjonsstandarderegen side

EØS-avtalen vedlegg IX nr. 16eb (delegert kommisjonsforordning (EU) 2018/389 om tekniske reguleringsstandarder for sterk kundeautentisering og felles og sikre åpne kommunikasjonsstandarder, som endret ved delegert kommisjonsforordning (EU) 2022/2360) gjelder som forskrift med de tilpasninger som følger av vedlegg IX, protokoll 1 til avtalen og avtalen for øvrig.

Tilføyd ved forskrift 5 juli 2023 nr. 1245 (i kraft 25 juli 2023).

§ 13. Frist for gjennomføring av endringsbestemmelser om sterk kundeautentiseringegen side

Betalingstjenestetilbydere skal gjennomføre endringer i henhold til delegert kommisjonsforordning (EU) 2022/2360 innen 1. november 2023.

Overgangsbestemmelsene i delegert kommisjonsforordning (EU) 2022/2360 art. 2 nr. 1 gjelder for anvendt unntak før 1. november 2023.

Tilføyd ved forskrift 5 juli 2023 nr. 1245 (i kraft 25 juli 2023).

§ 14. Kompetanse til å endre forskriftenegen side

Finanstilsynet kan gjøre endringer i denne forskriften for å gjennomføre EØS-forpliktelser i henhold til delegeringsvedtak 29. mars 2022 nr. 484 § 2.

Tilføyd ved forskrift 5 juli 2023 nr. 1245 (i kraft 25 juli 2023).

§ 15. Ikrafttredelseegen side

Forskriften trer i kraft 1. april 2019. Fra samme tidspunkt oppheves forskrift 17. desember 2015 nr. 1731 om systemer for betalingstjenester.

Endret ved forskrifter 31 mai 2021 nr. 1715 (i kraft 1 juli 2021, tidligere § 11), 5 juli 2023 nr. 1245 (i kraft 25 juli 2023, tidligere § 12).